Windows 7導入前に済ませるべきXPのセキュリティ対策:ネットワーク上にXPマシンを残すなら
心情的にはWindows XPは去りゆくものかもしれないが、物理的に存在し続ける限り、リスクはなくならない。
Windows 7の正式版リリースまでには、(アップグレードや標準化に半年〜1年かかることを別にすれば)まだ数カ月ある(2009年8月19日執筆時点)。しかし、今あるWindows XPベースのマシンをどう管理するかを考え、不必要なセキュリティの溝を作ることなくWindows 7を導入する準備に入るのに早過ぎるということはない。
アップグレードと移行に際して、レガシーOS(Windows NT、Windows 2000 Serverなど)に払うべき注意が払われていないのはよくあることだ。そうなるとセキュリティが犠牲になる。レガシーWindowsシステムにセキュリティホールが見つかれば、そのマシンは間もなくネットワークから切り離されるのが、まず普通の対応だ。しかし残念ながら、こうした管理不行き届きのシステムの未解決の脆弱性を何者かが悪用しようとした場合、「間もなく」では役に立たない。自分や会社が次のOSに進んだとしても、Windows XPシステムは攻撃の標的となり続ける──特に、Microsoftが2014年にサポートを打ち切った後は。
システムを何年使っていようがどのように使っていようが、悪意を持った従業員や業務委託先、外部の攻撃者やマルウェアは引き続き、Windows XPシステムを脅かす存在であり続ける。同様に、これまであったWindowsの弱点がなくなることもない。こうした弱点を突かれれば、会社にとって深刻な問題になりかねない。
ではどうしたらいいのか。まず第一に、MicrosoftがいつまでもXPのセキュリティを守ってくれると思ってはいけない。XPであらゆるものに鍵をかけ、まったく仕事にならないような状態にしてしまうわけにもいかない。Windows XPシステムのセキュリティを保つ鍵となるのは、時間があるときに、Windowsのセキュリティ基準とセキュリティ診断の手順を体系化しておくことだ。重点は、透明性、コントロール、そしてシステムの現在の状態を把握することに置く。これは、セキュリティが必要な重点分野を中心として、適切なプロセスを定めることを意味する。
Windows XPシステムの防御を固める最善の策というのは存在しないが、大切なのはXPシステムを忘れないことだ。ネットワークの複雑さや日常業務の忙しさを考えると、これは非現実的に思えるかもしれない。Windows XPのレガシーシステムがすべて死に絶えるまで放置したいとさえ思うかもしれない。しかし、目に入らないようにして忘れ去ったとしても、セキュリティリスクがなくなるわけではないことは覚えておかなければならない。適切なツールを使って適切な選択をすれば、Windows XPのコントロールを握り、維持することは可能だ。以下の点を重視するといい。
- 何が危険にさらされているかを知る
- 優れた基準とポリシーを定める
- (セキュリティ上)すべきこととすべきでないことを周知させる
- ポリシーを強制する
- 綿密なセキュリティ診断を一貫して行う
- 有用な技術を可能な限り自動化し利用する
心情的にはWindows XPは去りゆくものかもしれないが、物理的にはまだ当分の間存在し続ける。現在も今後も、Windows XPのセキュリティ管理、あるいは管理の不在のせいで忙殺されることがあってはならない。起こるかもしれない問題に早めに対処しておけば、会社にとってもプラスになるだろう。
本稿筆者のケビン・ビーバー氏は、米アトランタにあるPrinciple Logicを経営する独立系情報セキュリティコンサルタントで、執筆、講演も手掛ける。情報セキュリティに関する7冊の著書および共著書がある。
Copyright © ITmedia, Inc. All Rights Reserved.